Beruflich Dokumente
Kultur Dokumente
Rezept fr
sichere Software
Entwicklung von SteuergerteBasis-Software nach
ISO/DIS 26262
Mit Einfhrung der neuen Norm ISO 26262
werden die Anforderungen an sicherheitsrelevante Funktionen deutlich anspruchsvoller als bisher, gleichzeitig aber auch
genauer eingegrenzt und klarer definiert.
Dabei mssen formell validierte Systeme
und die Wiederverwendung bestehender
Lsungen kein Widerspruch sein. Generische Sicherheitsmodule in Hardware und
Software knnen bewhrte Komponenten
ergnzen.
Von Dr. Thomas Wenzel, Martin Fassl und
Joachim Kalmbach
ApplikationsSoftware
(ASIL D)
BasisSoftware
(ASIL D)
ASIL D
ASIL D + QM
ApplikationsSoftware
(ASIL D)
Sicherheitsschicht
(ASIL D)
Basis-Software
(QM)
Sicherheitsmechanismen
Re-Use der
BasisSoftware
52
App. 2
App. 4
Checkpoint
SafeApp2"
"
Comm
Services
I/O
Services
BSP
Prf-/Schutzfunktion
Sicherheitsrelevante
Funktion
Unkritische Anwendungs-Software
Checkpoints
Safe"
Safe
"
"
Component
2" SWC
SWC
SWC
J1939TP
MICROSAR CAL
Checkpoint
Safe CDD"
"
MICROSAR COM
MICROSAR IO
MICROSAR DIAG
Safe
Watchdog
Manager
XCP
Safe MPU
Manager
MICROSAR SYS
MICROSAR OS (SC3/4)
Watchdog
Complex Drivers
MICROSAR RTE
MICROSAR MOST
MICROSAR IP
Memory
Services
Checkpoint
SafeCDD"
"
Complex
Drivers
MICROSAR FR
System
Services
SafeWatchdogMgr
RTE
MICROSAR LIN
"
MICROSAR CAN
Checkpoint
SafeApp1"
App. 3
MICROSAR MEM
OS
SafeMemoryProtection
Bootloader
App. 1
MICROSAR EXT
Mikrocontroller
berwachungs-/
Schutzfunktion
Sicherheitsrelevante
Funktion
AUTOSAR-BasisSoftware-Komponente (SWC)
Nicht sicherheitsrelevante
Funktion
ll Bild 3. Microsar von Vector wird durch die Software-Module SafeCOM und SafeExecution zu einer
abgesicherten AUTOSAR-Basis-Software-Lsung.
54
_067
ISO 26262llll
Generische Umsetzung
der Absicherungsschicht
TTTech Automotive hat mit SafeExecution eine generische berwachungsschicht entwickelt, welche die
genannten Anforderungen hinsichtlich
Coexistence und Rckwirkungsfreiheit erfllt und durch die effiziente
Wiederverwendung von bestehenden
Komponenten zur Kostenreduktion
beitrgt. Durch die Modulintegration
fr Memory Protection und Program
Flow Monitoring knnen mgliche
Fehler in QM-entwickelten Teilen der
Basis- oder Applikations-Software sicher erkannt und eine geeignete Fehlerreaktion ausgelst werden (Bild 2).
Der Anwender muss dafr die Module
der SafeExecution entsprechend ihres
Safety Manuals integrieren und erhlt
so ein System, das den Anforderungen
der ISO 26262 gengt.
Entwicklung + Test
Dipl.-Ing. (FH)
Joachim Kalmbach
c
i
n
o
r
t
c
ele
www.elektroniknet.de
2
B
lle
a
H
13
1
/
55